課程設(shè)計防火墻的設(shè)計與實現(xiàn)

課程設(shè)計報告課程名稱 計算機(jī)網(wǎng)絡(luò)課題名稱1、防火墻技術(shù)與實現(xiàn)2、無線WLAN的設(shè)計與實現(xiàn)專業(yè)計算機(jī)科學(xué)與技術(shù)課程設(shè)計任務(wù)書一．設(shè)計內(nèi)容：建立為了便于集中認(rèn)證和管理接入用戶，采用AAA(Authentication、Authorization和Accounting)安全體系。通過某種一致的辦法來配置網(wǎng)絡(luò)服務(wù)，控制用戶通過網(wǎng)絡(luò)接入服務(wù)器的訪問園區(qū)網(wǎng)絡(luò)，設(shè)計內(nèi)容如下：1．掌握IEEE820.1X和RADIUS等協(xié)議的工作原理，了解EAP協(xié)議2．掌握HP5308/HP2626交換機(jī)的配置、調(diào)試方法3．掌握WindowsIAS的配置方法和PAP，CHAP等用戶驗證方法4．建立一個基于三層交換機(jī)的模擬園區(qū)網(wǎng)絡(luò)，用戶通過AAA方式接入園區(qū)網(wǎng)絡(luò)問題2：動態(tài)路由協(xié)議的研究與實現(xiàn)建立基于RIP和OSPF協(xié)議的局域網(wǎng)，對RIP和OSPF協(xié)議的工作原理進(jìn)行研究，設(shè)計內(nèi)容如下：1．掌握RIP和OSPF路由協(xié)議的工作原理2．掌握HP5308三層交換機(jī)和HP7000路由器的配置、調(diào)試方法3．掌握RIP和OSPF協(xié)議的報文格式，路由更新的過程4．建立基于RIP和OSPF協(xié)議的模擬園區(qū)網(wǎng)絡(luò)5．設(shè)計實施與測試方案問題3：防火墻技術(shù)與實現(xiàn)建立一個園區(qū)網(wǎng)絡(luò)應(yīng)用防火墻的需求，對具體實施盡心設(shè)計并實施，設(shè)計內(nèi)容如下：1．掌握防火墻使用的主要技術(shù)：數(shù)據(jù)包過濾，應(yīng)用網(wǎng)關(guān)和代理服務(wù)2．掌握HP7000路由器的配置、調(diào)試方法3．掌握訪問控制列表ACL，網(wǎng)絡(luò)地址轉(zhuǎn)換NAT和端口映射等技術(shù)4．建立一個基于HP7000路由器的模擬園區(qū)網(wǎng)絡(luò)出口5．設(shè)計實施與測試方案問題4：生成樹協(xié)議的研究與實現(xiàn)建立基于STP協(xié)議的局域網(wǎng)，對STP協(xié)議的工作原理進(jìn)行研究，設(shè)計內(nèi)容如下：1．掌握生成樹協(xié)議的工作原理2．掌握HP5308三層交換機(jī)和HP2626交換機(jī)的配置、調(diào)試方法3．掌握STP/RSTP/MSTP協(xié)議的的工作過程4．建立基于STP協(xié)議的模擬園區(qū)網(wǎng)絡(luò)5．設(shè)計實施與測試方案問題5：無線WLAN的設(shè)計與實現(xiàn)建立一個小型的無線局域網(wǎng)，設(shè)計內(nèi)容如下：1．掌握與無線網(wǎng)絡(luò)有關(guān)的IEEE802規(guī)范與標(biāo)準(zhǔn)2．掌握無線通信采用的WEP和WPA加密算法3．掌握HP420無線AP的配置方法4．建立基于Windowsserver和XP的無線局域網(wǎng)絡(luò)5．設(shè)計測試與維護(hù)方案二．設(shè)計要求：1．在規(guī)定時間內(nèi)完成以上設(shè)計內(nèi)容。2．畫出拓?fù)鋱D和工作原理圖（用計算機(jī)繪圖）3．編寫設(shè)計說明書.見附帶說明。.成績評定：指導(dǎo)老師負(fù)責(zé)驗收結(jié)果，結(jié)合學(xué)生的工作態(tài)度、實際動手能力、創(chuàng)新精神和設(shè)計報告等進(jìn)行綜合考評，并按優(yōu)秀、良好、中等、及格和不及格五個等級給出每位同學(xué)的課程設(shè)計成績。具體考核標(biāo)準(zhǔn)包含以下幾個部分：平時出勤（占20%）系統(tǒng)分析、功能設(shè)計、結(jié)構(gòu)設(shè)計合理與否（占10%）③個人能否獨(dú)立、熟練地完成課題，是否達(dá)到目標(biāo)（占40%）④設(shè)計報告（占30%）不得抄襲他人的報告（或給他人抄襲），一旦發(fā)現(xiàn)，成績?yōu)榱惴?。三進(jìn)度安排（注意：17周必須提交課設(shè)報告，遲交或未交只能計零分。下面是三個班總的時間安排，課設(shè)報告中，每班只需填寫其實際設(shè)計時間）因是3個班滾動執(zhí)行，沒有過多銜接時間，各位同學(xué)必須嚴(yán)格按時執(zhí)行。第1周時間8：00-12：0012：00—15：0015：00-17：00星期一080108020803星期二080208030801星期三080308010802星期四080108020803第2周時間8：00-12：0012：00—15：0015：00-17：00星期二080208030801星期四080308010802附：課程設(shè)計報告裝訂順序：封面、任務(wù)書、目錄、正文、評分、附件（A4大小的圖紙及程序清單）。正文的格式:一級標(biāo)題用3號黑體,二級標(biāo)題用四號宋體加粗,正文用小四號宋體;行距為22。正文的內(nèi)容:一、課題的主要功能；二、課題的功能模塊的劃分（要求畫出模塊圖）；三、主要功能的實現(xiàn)（至少要有一個主要模塊的流程圖）；四、程序調(diào)試；五、總結(jié)；六、附件（所有程序的原代碼，要求對程序?qū)懗霰匾淖⑨專?。正文總字?jǐn)?shù)要求在5000字以上（不含程序原代碼）。目錄實驗報告一、防火墻技術(shù)與實現(xiàn)（必做）TOC\o"1-5"\h\z\o"CurrentDocument"\h一、防火墻的簡介和使用技術(shù) 11、防火墻的簡介2、防火墻的使用技術(shù)3、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)\o"CurrentDocument"\h二、網(wǎng)絡(luò)拓?fù)鋱D 3\o"CurrentDocument"\h三、調(diào)試過程 41、建立內(nèi)部網(wǎng)絡(luò)2、建立模擬internet網(wǎng)絡(luò)3、建立內(nèi)外網(wǎng)絡(luò)的連接4、配置NAT與ACI及其轉(zhuǎn)換四、實驗結(jié)果 五、實驗總結(jié) 六、附件 實驗報告二、無線WLAN的設(shè)計與實現(xiàn)（選做）一、工作原理 二、網(wǎng)絡(luò)拓?fù)鋱D 三、調(diào)試過程 四、實驗結(jié)果 五、總結(jié) 六、附件 實驗報告一、防火墻技術(shù)與實現(xiàn)（必做）一、防火墻的基本概念和使用技術(shù)1、防火墻簡介防火墻是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講，防火墻是位于兩個或兩個以上的網(wǎng)絡(luò)間，實施網(wǎng)絡(luò)之間訪問控制的一組組件集合。對于普通用戶來說，所謂“防火墻”，指的就是一種被放置在自己的計算機(jī)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，它對從網(wǎng)絡(luò)發(fā)往計算機(jī)的所有數(shù)據(jù)都進(jìn)行判斷處理，并決定能否把這些數(shù)據(jù)交給計算機(jī)，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會攔截下來，實現(xiàn)對計算機(jī)的保護(hù)功能。設(shè)置防火墻的目的是防火墻是在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，它包括硬件和軟件，目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用、防止內(nèi)部網(wǎng)絡(luò)受到外部非法用戶的攻擊。防火墻的主要功能檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包；檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包；執(zhí)行安全策略，限值所有不符合安全策略要求的數(shù)據(jù)包通過；具有防攻擊能力，以保證自身的安全性;防火墻實現(xiàn)的主要技術(shù)：數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)。2、防火墻使用的技術(shù)：數(shù)據(jù)包過濾：包過濾路由器可以決定對它所收到的每個數(shù)據(jù)包的取舍。是基于路由器技術(shù)的，建立在網(wǎng)絡(luò)層、傳輸層上。路由器對每發(fā)送或接收來的數(shù)據(jù)包審查是否與某個包過濾規(guī)則相匹配。包過濾規(guī)則即訪問控制表，通過檢查每個分組的源IP地址、目的地址來決定該分組是否應(yīng)該轉(zhuǎn)發(fā)。如果找到一個匹配，且規(guī)則允許該數(shù)據(jù)包通過，則該數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)。如果找到一個與規(guī)則不相匹配的，且規(guī)則拒絕此數(shù)據(jù)包，則該數(shù)據(jù)包將被舍棄。包過濾路方法具有以下優(yōu)點：（1）執(zhí)行包過濾所用的時間很少或幾乎不需要什么時間。（2）對路由器的負(fù)載較?。?）由于包過濾路由器對端用戶和應(yīng)用程序是透明的，因此不需要在每臺主機(jī)上安裝特別的軟件。包過濾路方法的缺點：（1）在路由器中設(shè)置包過濾規(guī)則比較困難（2）由于包過濾只能工作在“假定內(nèi)部主機(jī)是可靠地，外部諸暨市不可靠的”這種簡單的判斷上，它只是控制在主機(jī)一級，不涉及包內(nèi)容的內(nèi)容與用戶一級，因此它有很大的局限性。應(yīng)用級網(wǎng)關(guān)：多歸屬主機(jī)具有多個網(wǎng)絡(luò)接口卡，因為它具有在不同網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換的能力，因此人們又稱它為“網(wǎng)關(guān)”。多歸屬主機(jī)用在應(yīng)用層的用戶身份認(rèn)證與服務(wù)請求合法性檢查，可以起到防火墻的作用，稱為應(yīng)用級網(wǎng)關(guān)。應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)／服務(wù)器模式實現(xiàn)的。每個客戶機(jī)／服務(wù)器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務(wù)器。另外，每個代理需要一個不同的應(yīng)用進(jìn)程，或一個后臺運(yùn)行的服務(wù)程序，對每個新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點。應(yīng)用代理：應(yīng)用代理是應(yīng)用級網(wǎng)關(guān)的另一種形式，是以存儲轉(zhuǎn)發(fā)方式，檢查和確定網(wǎng)絡(luò)服務(wù)的用戶身份是否合法，檢查和確定網(wǎng)絡(luò)服務(wù)請求的身份時候合法，決定是轉(zhuǎn)發(fā)還是丟棄該服務(wù)請求。3、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)：NAT的工作原理如下圖所示：

圖1NAT的基本工作原理如圖所示，如果內(nèi)部網(wǎng)絡(luò)地址為.1的主機(jī)希望訪問Internet上地址為的Web服務(wù)器，那么它就會產(chǎn)生一個源地址S=，目的地址為的分組為1。NAT常與代理、防火墻技術(shù)一起使用。在防火墻中起到了重要的作用。二、網(wǎng)絡(luò)拓?fù)鋱D防火墻的實現(xiàn)與技術(shù)的實驗拓?fù)鋱D如下所示：PCIlP;2S.lOCl.2.m”ETHl;H)l.l.2?24櫻必irπeπ>etPCIlP;2S.lOCl.2.m”ETHl;H)l.l.2?24櫻必irπeπ>etVim1:/24Vian2;2O2.K)Q.2.&/24本實驗采用2臺HP2626交換機(jī)、一臺HP7102路由器、HP5308三層交換機(jī)來實現(xiàn)防火墻的設(shè)計與實現(xiàn)其功能。三、調(diào)試過程這次實驗的重點在于防火墻的配置，在配置防火墻的過程中，重點在于設(shè)置NAT和ACL，NAT用來配置內(nèi)網(wǎng)計算機(jī)訪問外網(wǎng)時的地址轉(zhuǎn)換，保證內(nèi)網(wǎng)與外網(wǎng)的計算機(jī)相互之間能夠成功地訪問對方。ACL是訪問控制，主要用來設(shè)置內(nèi)網(wǎng)計算機(jī)的訪問權(quán)限，通過配置ACL，可以禁止或允許內(nèi)網(wǎng)中的計算機(jī)之間的相互訪問以及內(nèi)網(wǎng)計算機(jī)訪問外網(wǎng)，實驗過程中，ACL訪問控制配置在HP5308交換機(jī)。防火墻是在內(nèi)網(wǎng)和外網(wǎng)中設(shè)置的氣到網(wǎng)絡(luò)安全的。實現(xiàn)防火墻技術(shù)的實驗就需要建立內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中的局域網(wǎng)都是通過交換機(jī)來設(shè)計的。因此分以下4步。1、建立內(nèi)部網(wǎng)絡(luò)：內(nèi)部網(wǎng)絡(luò)是將PC2、Edge和Core連接起來，然后利用超級終端軟件對各個設(shè)備進(jìn)行配置，配置如下：首先在PC2計算機(jī)中對網(wǎng)絡(luò)地址進(jìn)行配置，IP地址設(shè)置為.15，子網(wǎng)掩碼為255.255.255.；0其次對交換機(jī)2626B進(jìn)行配置，將其分為多個局域網(wǎng)，此次實驗只分V配lan1，其IP地址的范圍是.3/24，在超級終端上的命令是2626B(config)#Vlan12626B(Vlan-1)#ipaddress.3/242626B(Vlan-1)#Vlan110tagged25調(diào)試圖如下：ProCur?ueSritck2626HconfipProCurveSnitch2626<confis”hostna?u262662626B(<onFig)Nul&n12626B(vldh1)HidAdd∕2A26施Bgl_T—匕界7762626B(vlαn-l)Wexit2626B(config)N一SM40:29:IUB1VMWAIHPProCurve5308xl三層交換機(jī)，其背板交換引擎速度為76.8Gbps，吞吐量高達(dá)48mpps，并配置雙冗余電影，保證核心層高速、可靠的三層交換；給它配置兩個Vlan，Vlan1的地址為.1/24，Vlan10的地址為10.，并在vlan10上配置中繼端口B1，在vlan1上配置中繼端口在vlan10上配置中繼端口B2，啟用三層轉(zhuǎn)發(fā)協(xié)議。設(shè)置局域網(wǎng)Vlan1：Core（config）#Vlan1Core（Vlan-1）#ipaddress.1/24Core（Vlan-1）#taggedB2設(shè)置局域網(wǎng)Vlan10：Core(config)#Vlan10ipaddress10.Core(config)#Vlan110taggedB1調(diào)試圖如下：犀里州■ 丁彳貞|±frl∣mc>sv>z>F?pitiftqjmw□tf客書占旨P'roCuτu*tMilch53閥*1彳enIVoCιrveS?itc?53M?]tc?nl?rfιrM??LtcftMK?](c^ifijμFroCurv#?nLixiιS3B?xl(ccnfigFPhglna?≡CoreC<tr<ιtconfi{∣∣H”1』1C?rβfvlwι-lkN10.1,L.l∕2fiI^lidi∣4t∣iIB11.V24Curetvldii-nvipadd1?.1.1.1/24C4rc(vlan-l?Via9gedB2?rβjvlwι-l[,∣i^xitCor?(config)"vlβnIncoM>leteinput:vl∣mC?re(config}αvlaniθLor?vlan-lllllipadd1HlW.llβ1/24Corβ(vlβn-l?l?tM9edB2C?r?(vlan-19ltexitC4jre((.u?fl9^Ruu“l(fā)?.16.11θ.llb-10.ilG.iisalιv%ttine-1nsUr4(confifl>Hpinαlfl111i??Jiu?.ti*∣e~1■&Core(confi@"C.給7102的兩個以太網(wǎng)口配置地址，并激活。ETH0/1的地址為.2/24，ETH0/2的地址為/24，指令如下：NAT(config)#interfaceEthernet0/1NAT(config-eth0/1)#ipaddress.2NAT(config-eth0/1)#noshutdownNAT(config)#interfaceEthernet0/2NAT(config-eth0/2)#ipaddressNAT(config-eth0/2)#noshutdown運(yùn)行圖如下：

-■=F?^?Stt?iS?∣!∣￡?|￡|rjti∣∣r∣『遙①4ffl∣ti∣口降再so咨陷ProCur??SR7102dl>?nPrαCurveSR7102dlHconfigConfiguringfrawterminallinenory.arnetwork?L?erninal]PraCurveSR7102d)(config)IhastnaneNATNAI(coπfig^interfaceEHT2其Unrecognizedcon?arιdAT(config)Kinterfaceethernel0/2Nl∩I(coπfig-elh%2Ui口add2?2.UH*.1一"2&總InvalidorirκonpLetecnmandmi(canfig-^th6√2)?ipadd202.1??J2255.255.255.?WI(c?nfig-eth0√2)?o三hutdown∣MAT(confi?-el∣?ΘZ2I∣MAT(confi?-el∣?ΘZ2I∣?93.12.2715:95:14IMTERFACE_STATUS-elh0/2changedstatetoa?irkLs?ra?ivelvu閣M*：gfig)#i"t€rfac€eth?rne10/1l?RT(confi9-ethWiu改Id10.111255,255255.6NAI(confi?-elh0∕l)ln?shutdownMAT(co^fi9-?l∣?g/umxonfig-elh0/1Hexitconfig)ticonfigjticonfig)tixonfig-elh0/1Hexitconfig)ticonfigjticonfig)tiNni(configj4t≡(coπfU!?tQ3≡g比！日動云黑也MMR~l在內(nèi)部網(wǎng)絡(luò)的各個設(shè)備設(shè)置完后，嘗試使用PC2ping7102A的出口地址，但是因為缺少路由，所以ping不通。所以我們還需要在5308上寫上內(nèi)網(wǎng)默認(rèn)路由，在7102A上添加網(wǎng)絡(luò)的出口路由，指令如下：Core(config)#Iproute.0NAT(config)#Iproute添加上默認(rèn)路由后，內(nèi)部網(wǎng)絡(luò)即構(gòu)建完畢。如果從PC2ping7102A的出口地址.2，不通的話，還需要認(rèn)真的檢查確保各vlan或端口之間的tagged和untagged配置是否正確。、構(gòu)建模擬internet網(wǎng)絡(luò)給2626A創(chuàng)建兩個vlan，Vlan1的地址為/，24Vlan2的地址為/。24給vlan2上分配1號端口，并配置中繼端口26，啟用三層轉(zhuǎn)發(fā)。2626A(config)Vlan1ipaddress2626A(config)Vlan2ipaddress2626A(config)Vlan2tagged12626A(config)Vlan2tagged26用PC1ping2626的Avlan1和vlan2的地址，ping通檢驗配置正確。、建立內(nèi)外網(wǎng)絡(luò)的連接給7102A寫指向2626A的靜態(tài)路由，給2626A寫指回7102A的靜態(tài)路由。2626A(config)Iproute.0NAT(config)Iproute.0這時，整個內(nèi)外網(wǎng)絡(luò)構(gòu)建完畢，PC2能直接ping通PC1，通過查看流量檢測軟件。、配置NAT轉(zhuǎn)換NAT：1、設(shè)置外部接口IPRouter(config)#interfaceserial0/0Router(config-if)#ipaddress2、設(shè)置內(nèi)部接口IPRouter(config)#interfacefa0/0Router(config-if)#ipaddress3、建立映射Router(config)#ipnatinsidesourcestatic4、在接口上啟用NATRouter(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefa0/0Router(config-if)#ipnatinsideACL：max-vlans256connection-rate-filtersensitivityhighrulepermitsource0ruledenysourceanyNAT與ACL的轉(zhuǎn)換：ipfirewallipaccess-liststandardinsidepermitanyippolicy-classNATinsidenatsourcelistMatchAlladdressoverloadinterfaceeth0/1access-policyNATinside四、實驗結(jié)果在完成剛剛的配置后，還需對三層交換機(jī)5308增加一些配置，即配置ACI。再次過程中，我們在添加很多PC主機(jī)。給5308添加vlan10.1/24、vlan1/24、vlan1/24，把D1-D4分配給vlan10，E1-E4分配給vlan11，E5-E8分配給vlan12.并再此基礎(chǔ)上配置ACl命令，實現(xiàn)只允許節(jié)點地址0和網(wǎng)絡(luò)地址/24網(wǎng)段的地址對vlan1(/24)網(wǎng)段進(jìn)行訪問。其中，D1-D4，E1-E4，E5-E8都是用來接主機(jī)的接口。Core(config)#Vlan10ipaddress0.1/24Core(config)#Vlan10untaggedD1-D4Core(config)#Vlan11ipaddress/24Core(config)#Vlan11untaggedE1-E4Core(config)#Vlan12ipaddress/24Core(config)#Vlan12untaggedE5-E8Core(config)#Access-list10permithost.10Core(config)#Access-list10permit.1/24Core(config)#vlan11ipaccess-group10out在Ip地址為1pingpc，2不通，ping5則能通。結(jié)果如：PC1為外網(wǎng)的主機(jī)，IP地址為1；PC2為內(nèi)網(wǎng)的主機(jī)，IP地址為5。1、PC1的網(wǎng)絡(luò)連通測試PC1的地址為，測試它與交換機(jī)出口的連接。測試結(jié)果如圖1.2所示。C:\WINDOWS.5ystem32?cnιd.eκe∣-l□∣χ∣MicrosoftWindowsXP［版本5.1.2fc001√C>版權(quán)所有1985-2001MicrosoftCorp.ZlC=?Docuιnents口ndSetti∏ss×Λdninistr?t□r>pi∩H202.1Q0.1.1Pinging262.lββ.1.1with32bytssofdata：Replgfrom：hi/tes=32time<lmsTTL=64Replgfrom：hi/tes=32time<lmsTTL=64Rep1?ffrom：hjpFtes=32time<lmsTTL=64Replgfrom：hjpFtes=32time<l∏ETTL=64Pingstatisticsfor：Packets：Sent=4,Heceiued=4,Lost=0《ZzLoss),fiWFθxiιnateroundtriptlinesinnilli-seconds：Minimum=0ιns,Maximum=0ιns,Auepac(e=0ms仙1 1圖1.2PC2與交換機(jī)出口的連通測試2、PC2的連通測試（1）PC2與內(nèi)網(wǎng)接入層交換機(jī)的連通測試，測試結(jié)果如圖1.3和圖1.4所示。[STC[STC:MlffD0IΞ?5y≡teB32XcBd.eze l-l□∣χ∣C：\Doci_iinentsandSe11ings?fidininistpatop>pingPingingwith32byte3ofd?t?：I?plyfrom：hι∕tes=32tine=2msTTL=64Replyfrom10-1-1-1：hι,Fte5=32tine<lmsTTL=64Replyfrom10-1-1-1：hι,Fte5=32tine<lmsTTL=64Rep?from10-1-1-1：bytew=32tine<lmsTTL=64Pingstatisticsfor：Packets：Sent=4,Reeeiued=4,Lost=0<0ZLoss)AWFθxi∣ηateroundtriptlinesinnilli-seconds：Minimum=Bins,Maximum=2ms,Auepage=0ms圖1.3PC2與內(nèi)網(wǎng)接入層交換機(jī)的連通測試G~C:WmOTS\^yst?32X?d.eτe?-∣□∣?∣C：\Doci_iinentsandSe11in?s?Adininistrator>ping 』Pingingwith32h?,Ftesofdata：Repl?Ffrom：hj√tes=32tine<1msReplyfrom：h5Ftes=32tine<1msTTL=63TTL=63TTL=63TTL=63Replyfrom：h?Ftes=32tine<1mstine〈insReplyfrom=h5tc=s=32Pingstatisticsfor10-1-1-3:Packets：Sent=4,Beceiued=4,Lost=0<0ZLoss),Approximatepoundtriptlinesinnilli-seconds：Minimum=0ι∏5,Maximum=0ιns,Aueυage=0ms圖1.4PC2與內(nèi)網(wǎng)接入層交換機(jī)的連通測試（2）PC2與核心層交換機(jī)的連通測試，測試結(jié)果如圖1.5所示。C：MlHD0IS?5y5tea32?cBd.ezel-l□∣χ∣C:^DocumentsandSe11inc(sl?fldininistra10r^pinc(Pi∏Hi∏Hwith32bytegofdata：-JF?plyfrom10-10-110-1：hι∕tes=32time<lmsTTL=64Repli∣from10-10-110-1：byte=s=32tiπιe<lπiΞTTL=64Repli∣from10-10-110-1：byte=s=32tiπιe<lπiΞTTL=64REpl4ιfrom10-10-110-1:hι,ιteE=32tiπιe<lπiETTL=64Pingstatisticsfop10-10-110-1:Facl<ets:Sent=4,Beceiued=4,Lost=0(0Zloss).fiw14oxiιnateFoundti4iptiιnesinnilli-sec0nds:Minimum=Bins,Maximum=0ιns,Auepage=0ms圖1.5PC2與核心層交換機(jī)的連通測試（3）PC2與防火墻的連通測試。測試結(jié)果與圖1.6所示。∣sTC:MlffD0IΞ?5y≡teB32XcBd.ezeLl□∣χ∣C：\Doci_iinentsandSe11ings?fidininistpatop>pingPingingwith32byte3ofd?t?：R^plyfromlβ.1.1.2：hι∕tes=32tine=4msTTL=253Replyfrom：byt￡：s=32tine<lmsTTL=253Replyfrom：byt￡：s=32tine<lmsTTL=253Repl?Ffrom：hι,Ftes=32tine<lmsTTL=253Pingstatisticsfor：Packets：Sent=4,Reeeiued=4,Lost=0<0ZLoss),Awιιoximateroundtriptlinesinnilli-seconds：Minimum=Bins,Maximum=4ms,flueHage=1ms圖1.6PC2與防火墻的連通測試（4）PC2與PC1的連通測試，測試結(jié)果如圖1.7所示。∣pTC：?IIHD0IΞ?5y5teB32?c≡d.eze-l□∣x∣C："xEoci-iinentsandSe11ingsl×Λdininistpatop>pinc∣0P±∏K∏yΞBΞ.lββ.2.10with32bytesofdata：Replyfrom262.lββ.2.16；hι∕tcs=32time=4msTTL=125F?plyfrom262.lθθ.2.lθ；hiftes=32time=lmsTTL=125F?plyfrom262.lθθ.2.lθ；hiftes=32time<lmΞTTL=125Replyfrom0：h^tes=32time<lmETTL=125Pingstatisticsfor0：Packets：Sent二4,Beceiued二4,Lost二0<0XLoss)Approximatepoundtriptlinesinnilli-seconds：Minimum=Bins,Maximum=4ιns,Aueυage=Ims圖1.7PC2與PC1的連通測試五、實驗小結(jié)通過這次課設(shè)我從中學(xué)習(xí)到了很多的東西,熟悉了網(wǎng)絡(luò)的基本知識的運(yùn)用。但是在課設(shè)期間我遇到了很多的問題，為此我發(fā)現(xiàn)了我對網(wǎng)絡(luò)的了解不是很透徹。一、我對防火墻的實現(xiàn)起到重要作用的ACI控制表和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)了解的很少，無疑給我的課題增加了一定的難度。在實驗的全過程，我一邊認(rèn)真做實驗，一邊查漏補(bǔ)缺，解決了我許多在ACl控制列表方面的知識漏洞與不足，增強(qiáng)了網(wǎng)絡(luò)知識掌握廣度與深度。二、對網(wǎng)絡(luò)的中所用的交換機(jī)、路由器、三層交換機(jī)的原理不是很清楚。但是通過網(wǎng)上的查詢與跟老師和同學(xué)的交流對這些東西有了很深的了解。從而在做實驗時能夠基本的做出來。三、其實這次設(shè)計不算順利，雖然我和同學(xué)最后順利完成了設(shè)計任務(wù)，但是我覺得從團(tuán)隊的角度來說是一種順利的合作。但是我還發(fā)現(xiàn)了一下問題。1）首先，作為團(tuán)隊，我們沒有把各自的任務(wù)分配清楚，而是一起走步，我覺得這樣遇到問題的時候容易產(chǎn)生依賴心理，也不容易調(diào)動每個人的積極性。明確的分工是合作的必要因素，而遇到問題集體討論才是發(fā)揮集體力量的時候。2）其次，我覺得我們沒有在設(shè)計初期對問題的分析還不夠深入，而在后期在遇到問題的時候有點對自己的東西掌控不住的感覺。我們基本上是走一步看一步，打個比方，把整個問題比作一棵樹，我們在初期沒有把整棵樹進(jìn)行遍歷，以做到大致心中有數(shù)，而我們走的只是其中一枝，在遇到問題的時候在回過頭找其他的樹杈，卻在岔路口徘徊。3）總體上看來，我覺得我們比較亂，缺少條理性或者是規(guī)劃。我個人以前獨(dú)自做課程設(shè)計的時候，都習(xí)慣先分析，再動手，而這次總體上不是這種風(fēng)格。也許這里面涉及到一個集體合作的融洽性問題，但是我倒覺得有個進(jìn)行總體部署的“牽頭人”比較好?？偠灾@次課設(shè)給我的不僅僅是知識，更重要的是學(xué)習(xí)的積極性跟與同學(xué)何老師的交流。讓我在這次課設(shè)受益匪淺。讓我對網(wǎng)絡(luò)的學(xué)習(xí)有了進(jìn)一步的了解。讓我多網(wǎng)絡(luò)的學(xué)習(xí)有更深一步的了解，讓我體會到了網(wǎng)絡(luò)的魅力。六、附件7102A(config)#interfaceEthernet0/17102A(config-eth0/1)#ipaddress.27102A(config-eth0/1)#noshutdown7102A(config)#interfaceEthernet0/27102A(config-eth0/2)#ipaddress7102A(config-eth0/2)#noshutdown給5308創(chuàng)建兩個vlan，Vlan1的地址為.1/24，Vlan2的地址為10.，并啟用三層轉(zhuǎn)發(fā)協(xié)議。5308(config)#Vlan1:.1/245308(config)#5308(config)#Iprouting給2626B創(chuàng)建兩個vlan，Vlan1的地址為.3/24，Vlan2可以不必配置地址，并寫上默認(rèn)網(wǎng)關(guān)。2626B(config)Vlan1:.3/242626B(config)Vlan22626B(config)Ipdefault-gateway.1此時使用PC2ping不通7102A的出口地址.2，在5308上寫上內(nèi)網(wǎng)默認(rèn)路由。在7102A上添加網(wǎng)絡(luò)的出口路由。5308(config)#Iproute7102A(config)#Iproute.1添加上默認(rèn)路由后，內(nèi)部網(wǎng)絡(luò)即構(gòu)建完畢。如果ping不通，請注意各vlan或端口之間的tag和untag有沒有寫正確。給2626A創(chuàng)建兩個vlan，Vlan1的地址為，Vlan2的地址為20。2626A(config)2626A(config)給7102A寫指向2626A的靜態(tài)路由，給2626A寫指向7102A的靜態(tài)路由。2626A(config)Iproute.0/07102A(config)Iproute.0/07102A(config)Iproute做net轉(zhuǎn)換ipfirewallipaccess-liststandardinsidepermitanyippolicy-classNATinsidenatsourcelistMatchAlladdressoverloadinterfaceeth0/1access-policyNATinside實驗報告二、無線WLAN的設(shè)計與實現(xiàn)（選做）一、工作原理本次實驗時我使用了WLAN的IEEE802.11b/g標(biāo)準(zhǔn)，使用5308交換機(jī)和ap420及服務(wù)器相連組成一個小型的無線局域網(wǎng)，并通過802.11i相關(guān)安全機(jī)制為該無線局域網(wǎng)部入安全機(jī)制與加密法，同時為無線局域網(wǎng)設(shè)置了集中的DHCP服務(wù)器與RADIUS服務(wù)器，來為無線客戶端動態(tài)分配IP與進(jìn)行網(wǎng)絡(luò)安全的身份認(rèn)證。1、DHCP服務(wù)工作過程：①當(dāng)DHCP客戶機(jī)首次啟動時，客戶機(jī)向DHCP服務(wù)器發(fā)送一個Dhcpdiscover數(shù)據(jù)包，該數(shù)據(jù)包表達(dá)了客戶機(jī)的IP租用請示。②當(dāng)DHCP服務(wù)器接收到Dhcpdiscover數(shù)據(jù)包后，該服務(wù)器從地址范圍中向那臺主機(jī)提供一個還沒有被分配的有效的IP地址。當(dāng)你的網(wǎng)絡(luò)中包含不止一個DHCP服務(wù)器時，主機(jī)可能收到好幾個dhcpoffe，r在大多數(shù)情況下，主機(jī)或客戶機(jī)接收到第一個dhcpoffe。r③接著，該DHCP服務(wù)器向客戶機(jī)發(fā)送一個確認(rèn)，該確認(rèn)里面已經(jīng)包括了最初發(fā)送的IP地址和該地址的一個穩(wěn)定期間的租約（默認(rèn)情況8是天）。④當(dāng)租約期過了一半時客，戶機(jī)將和設(shè)置它的TCP/IP配置的DHCP服務(wù)器更新租約。但租期過了87.5%時，如果客戶機(jī)仍然無法與當(dāng)初的DHCP服務(wù)器聯(lián)系上，他將與其他DHCP服務(wù)器通信，如果網(wǎng)絡(luò)上再沒有任何DHCP服務(wù)器在進(jìn)行時，該客戶機(jī)必須停止使用該IP地址，并從發(fā)送一個dhcpdiscover數(shù)據(jù)包開始，再一次重復(fù)整個過程。2、RADIUS服務(wù)器的功能是為無線客戶端進(jìn)入進(jìn)行網(wǎng)絡(luò)安全的接入身份認(rèn)證。、網(wǎng)絡(luò)拓?fù)鋱D

WindowsServer2003∣pjn.ι,∣(K).1n,24DHCP1PQHCPClient IRDHCPClient本實驗采用采用了一臺HP5308交換機(jī)，一臺HP2626交換機(jī)，一臺HP402AP和一臺WindowsServer2003服務(wù)器以及若干連接線來完成有線無線接入配置以及自動獲取IP地址的配置。由圖2-1可知，交換機(jī)Core劃分出4個vlan,vlan1是默認(rèn)的，vlan10用于有線接入，并通過vlan100與DHCP服務(wù)器取得聯(lián)系，獲取地址。Vlan20用于無線接入，也通過vlan100獲取DHCP分配的IP地址。且無限接入的PC1能與有線接入的PC2相互通信。三、調(diào)試過程1、CHCP配置具體操作圖2-3圖2-3（1）單擊“開始”→“管理工具”→“DHCP”，打開“DHCP”控制臺窗口，在左窗格中右擊DHCP服務(wù)器名稱，執(zhí)行“新建作用域”命令。如圖2-2所示。（1）單擊“開始”→“管理工具”→“DHCP”，打開“DHCP”控制臺窗口，在左窗格中右擊DHCP服務(wù)器名稱，執(zhí)行“新建作用域”命令。如圖2-2所示。圖2-2（2）打開“新建作用域向?qū)А睂υ捒颍瑔螕簟跋乱徊健卑粹o打開“作用域名”向?qū)ы?。在“名稱”編輯框中為該作用域輸入一個名稱和一段描述信息，單擊下一步“按鈕”，如圖2-3所示。Si建作用妹向?qū)ё饔煤嗣铺峁┝艘粋€用于識別的作用域名稱.空還可以提供一個描述.為此作用域鍵入名稱和描述。此信息幫助悠快速標(biāo)識此作用域在網(wǎng)絡(luò)上的作名稱⑥：＜上一步④）|下一步＜上一步④）|下一步ι?）:取消（3）在打開的“IP地址范圍”向?qū)ы撝校謩e在“起始IP地址”和“結(jié)束IP地址”編輯框中輸入已經(jīng)確定好的IP地址范圍，單擊“下一步按鈕”，如圖2-4所示。圖2-4（3）在打開的“IP地址范圍”向?qū)ы撝?，分別在“起始IP地址”和“結(jié)束IP地址”編輯框中輸入已經(jīng)確定好的IP地址范圍，單擊“下一步按鈕”，如圖2-4所示。圖2-4（4）在打開的“租約期限”向?qū)ы?，默認(rèn)將客戶端獲取的IP地址使用期限限制為8天。如果沒有特殊要求保持默認(rèn)值不變，單擊“下一步”按鈕，如圖2-5所示。瓶律作用糕日尋ttlgmR2一招姓朔朋華定了一個客戶或從此作fflfct使用IFfc?址的時間長《?。相士勺比職P■宋說與此計甘機(jī)通米與同?物一眼?=?連接的時iδUnl≡]c討于?個壬霽?名唱記本式計笄機(jī)取M號客尸，可移動附1濟(jì)年注，電耳嫉短的租約獨(dú)限比硬辱.同樣上也.對于?個主要也含臺式t十5機(jī)」傳三面走的網(wǎng)靖央□?1i55S狼/的:fa莫*月限電限好.也≡E服務(wù)SS分配能）作用峰祖堯I期限.限制為天013 小時（QD幺舌|?JJ■3 I。蘭! I。9＜上一步@）|下一步百廠兄 版a? |圖2-5（5）打開“配置DHCP選項”向?qū)ы摚３诌x“是，我想現(xiàn)在配置這些項”單選框，

單擊“下一步”按鈕。（6）在打開的“路由器（默認(rèn)網(wǎng)關(guān)）”向?qū)ы撝懈鶕?jù)實際情況輸入網(wǎng)關(guān)地址，并單擊“添加”按鈕。如果沒有可以不填，直接單擊“下一步”按鈕，如圖2-6所示。表金作用??白導(dǎo)厚由第<3K<A月關(guān)｝!≡可為1ST定:此作用W費(fèi)分配的SS由獸戒S?iλF9關(guān).委赤加客尸使用的*S由第的IP，也址，語在下面?ft入培址.<上一步@）|下一疹QD 版消|圖2-6（7）在打開的“域名稱和DNS服務(wù)器”向?qū)ы撝懈鶕?jù)實際情況輸入服務(wù)器的名稱和IP地址，并單擊“添加”按鈕，如沒有可以不填，直接單擊“下一步”按鈕，如圖2-7所示。圖2-7（8）在打開的“激活作用域”向?qū)ы撝羞x中“是，我想現(xiàn)在激活此作用域”單選框，并單擊“下一步”→“完成”按鈕完成配置。2、AP的調(diào)試接入點AP通過配置命令自動獲取IP地址，如圖2-8所示：

.hi?-??S??文伸Q）?$S（￡）≡??）吁叫G）傳送?皆ft?Q）口言了.需：：iDS圖SystemCountryCodeHRCfiddressCM-CHINAO0-17-A4-05-DF-F4IPfld?*essSubnetHmsk∩C?Fa∣ll￡G√??C^lιl^?lJ10,1,2Q-61圖2-8通過頁面設(shè)置AP，設(shè)置SSID號，如圖2-9所示：地址qn∣?kttp：/71D.1.20.ei/andaM.ktrHPJ8131AWirelessAccessPoint420-RadioStatus:InactiveSSID:vlan20SSIDSetthtιsSecuritySuiteAuthenticationServersAdvancedSettingsSSIDSettings圖2-9AP激活前后的對比，如下圖：z5∣HPTirelessAccessPoint420—MicrosoftInternetExplorer文件電）編輯9查看⑦收藏⑥工具①幫助QPQ后退，0，畫圖；:搜索:收藏夾小e9,2?斂地址@）.^∣http：//1/index.htmHPJ8131AWirelessAccessPoint420-RadioStatus:InactiveIPConfigurationpuregonlymodeIPConfigurationpuregonlymode圖2-10AP激活前福HPTirelessAccessPoint420—MicrosoftInt?metExplorer文件9第揖|E）查看凹收藏?工具9 幫助電）0后退一，w理；/搜索：:收成夾；▼▼享■故即，址S1幽"5"1口12Q61/inda"hf?^stemlι∣foπrιa(iorιIPConfiuurationSMMPHPJ8131AWirelessAccessPoint420RadioStatus:ActiveConfigurationP∣)Γt?^stemlι∣foπrιa(iorιIPConfiuurationSMMPHPJ8131AWirelessAccessPoint420RadioStatus:ActiveConfigurationP∣)Γt∣Rd(li∪SHlil∣0SUMsmmpTrap圖2-11AP激活后四、實驗結(jié)果1、有線接入的PC2地址獲取信息：與PC1的連通：與PC1的連通：'二&C:?ΠHDOVS?'二&C:?ΠHDOVS?syste≡32?od.exeMicrosoftIJindow≡XP[版本5.1_2600]<C>版權(quán)所有1985-2001MicrosoftCorp.C：?DocuιnentsandSettingsh√ldrιinisti'atoi'>ping0Replyfrom10-1.20.60：bytew=32time<lm≡TTL=G4Replyfrom10-1.20.60:h,ytes=32time<lιn≡TTL=G4Replyfrom0：b^tes=32time<lmsTIL=6